駭客成第四大經濟體,催生最熱門企業高層
防駭悍將資安長
毋庸置疑,駭客已經變成一個新興產業,無差別攻擊大小企業、政府機關、銀行、廣告看板。甚至有此一說,物聯網是駭客圈Killer App(殺手級應用),因為萬物互聯,就代表萬物可被駭。
換言之,這場看不見的資訊安全大戰,代表攻擊的駭客們正步步進逼,而必須守住重要資訊的這一方卻節節敗退。光是在台灣,2022年網路威脅偵測數量就高達1460億項,年增55%的幅度讓人擔憂,企業或政府的資安能讓人放心嗎?
或許正因威脅升高與挑戰加劇,政府也規定所有的上市櫃公司,必須在今年內設立資安長(Chief Information Security Officer, CISO)。此外,資安長除了抗駭外,更肩負企業數位轉型二次加速重責大任。資安長,已是現代企業不可或缺的標準配備之一。
企畫/羅之盈、黃健誠、吳婉瑜 撰文/羅之盈 責任編輯/曹岡陽 責任美編/杜軍儀
▲資安戰是24小時全年不停歇的戰爭,企業防禦需要更高階層的主帥,你的企業找到「資安長」了嗎? (達志影像)
假若「駭客攻擊與相關網路犯罪」是一個「經濟體」的話,它的「GDP生產毛額」,僅低於美國、中國、歐盟,竟然是「世界第四大經濟體」!根據國際資安調研機構Cyber security Ventures數據,2021年網絡犯罪在全球吸納6兆美元,「網路犯罪國的GDP」低於美國23兆美元、中國17.7兆美元、歐盟17兆美元,到了2025年,甚至可達10.5兆美元。
駭客無差別攻擊企業、機關資安大戰守方節節敗退
趨勢科技數據顯示,2022年網路威脅偵測數量高達1460億項(表1),再創歷史新高,年增55%的幅度也創紀錄。
駭客透過無差別攻擊,散射所有產業的消費者和企業機構,造成攔截的惡意程式檔案數量暴增242%。這場永不止歇的資安大戰,攻方正在攻城掠地,守方正在節節敗退!
根據國際調研機構Gartner預測,全球企業資安支出2023年高達1883億美元,龐大的資安防護費用,對應「網路犯罪國的GDP」高達6∼10兆美元,顯得蒼白無力。
細部觀察台灣資安市場2022年692億元台幣、五年複合成長率約僅10%(表2),可見企業資安支出成長緩慢,過去多是觀望態度,或是遭受攻擊、進而淪陷後,才增強防護。
從台灣從不止歇的資安事件,可見一斑,近期舉凡總統府、國防部、桃園醫院等(表3);金融業的台灣銀行、兆豐銀行﹔科技業的飛宏科技;車輛服務的Uber、iRent、格上租車;零售業的微風廣場等,受到攻擊的單位組織散布各行各業。
為了保護消費者權益,以及防止產業生產斷鏈,政府剛柔並濟,加速台灣整體防衛。
經濟部和財政部2022年7月首度釋出,資安費用抵稅申請,包括三年內企業購置的資安產品,不論是硬體、軟體、技術或技術服務,只要超過100萬元以上,10億元以下,都可申報3∼5%減抵稅額。
同時,政府給予企業組織層面的規範。
2021年金管會明令上市櫃公司設立資安專責團隊,2022年底,已有113家大型企業第一批完成設立資訊安全長,2023年擴大施行企業的範疇,全面要求上市櫃公司跟進設立,共計有1367家在2023年底前,需要完成資安團隊建置。
企業CISO資安長(Chief Information Security Officer)大軍,正在集結聯防。
奇怪的是,資安議題並非新鮮議題,防衛技術也從未懈怠,為何近年愈演愈烈?
「網路攻擊在2018年後陡升,主要是數位轉型驅動之下,企業被攻擊的『介面』變多了」,趨勢科技總經理洪偉淦苦笑地說,「駭客圈有一個說法,『物聯網』是他們的Killer App(殺手級應用),因為萬物互聯,就代表萬物可被駭。」
洪偉淦指出,疫情趨動的遠距工作型態,讓企業內網外網邊界模糊,防衛變得複雜,更麻煩的是,台灣產業多是彼此相連的上下游,冗長的供應鏈,讓駭客只要找到一個破口,就可以循線往上又往下。
所以資安不再能自掃門前雪,所以迫使政府的介入,加速拉動產業聯防,人員部屬就是重要一環。
「其實企業現在大多有了資安意識,非常重視,也願意花錢,不過駭客攻擊的方式,變化太快了,」達文西個資暨高科技法律事務所所長葉奇鑫,曾為網路犯罪專組檢察官,參與草擬《刑法》第36章「妨害電腦使用罪章」。
他指出,檯面上看到的資安事件,常常是已經在內部爆了一次、二次,企業也都有清理與加強防護,「但現在的駭客技術可以潛伏,他研究你的系統,摸得比你還熟,埋了一層又一層,最後企業甚至得重寫架構才能清理乾淨」。
安碁資訊吳乙南:我聽過林志玲,沒聽過「零攻破」
蘇義傑 攝
「駭客攻擊手法,每一次都前所未有」,台灣資安專家、安碁資訊總經理吳乙南,感嘆駭客攻擊範圍以及帶來的損害,近年愈來愈大,「數位化、數位轉型、雲端,都提供一個駭客溫床。」
不過數位轉型是不可逆的趨勢,企業該如何擁有足夠的資安防衛、又兼顧數位化效率?
吳乙南表示,要先認清一個事實,那就是「零攻破」是不可能,就像要求空氣裡零病毒,同樣是不可能,「所以我都說,我聽過林志玲,但沒聽過『零攻破』。」
但並不代表企業就得繳械躺平,最基本的防禦工事就是「投資」,而且是有策略、步驟的巧妙投資。
現代的資安防護,基本上已經不是單純的資訊技術議題,已經是「風險控制」議題,因為無法做到百分百防護,但可以減少災害損失。例如銀行裡最重要的是日常作業系統,還有ATM聯網與資訊,其他諸如外匯系統,就可往後放,企業需要先做資產盤查,再做衝擊分析,再安排資源進入。
安碁資訊於2003年開始執行國家級資安即時監控(Security Operation Center, SOC)專案,為國家資安會報建置最高規格SOC,已有20年功力。2017年後建立ISO17025實驗室認證的SOC自建數位鑑識中心,並取得國際認證,鑑識結果可在全球同樣通過ISO規範的各實驗室間,相互通報,面對跨國駭客戰役,又更為即時的攻擊情報。(羅之盈)
疫情掀起數位轉型大浪 資安長抗駭角色吃重
盤整資安攻防戰,企業防守比起過去更為困難(表4),再加上加密貨幣讓駭客更容易取財,驅動駭客技術日新月異,甚至駭客集團化、產業化。
數位發展部產業署副署長林俊秀表示,資安攻防戰愈打愈複雜,企業需要更多資源防衛,需要全盤戰略,這是經營管理層次的議題,政府不一定有能力做好,所以從「設立資安長」的規範,來拉動企業警覺。
不僅企業間有了明確的合作窗口,進而促成各式「資安長聯盟」,讓產業自行形成聯防陣列。
2017年10月國際大型駭客組織攻擊全球多家銀行,遠東商銀受到波及,駭客盜轉6000萬美元,雖然及時擋住,但也推動遠銀全盤調整防衛架構,調整幾百台主機的網路安全區,強化縱深與防衛的複合布局,並調整專責資安團隊。
遠東商銀資安長劉龍光表示,「我們很重視內部資安人才培育」,過去資安人員多數是來自IT資訊部門,但現在必須得「多元化」,資安人員需要理解內部產品與營運,才知道怎麼保護,讓營運不中斷。
遠銀資安專責團隊現有12位成員,來自業務、後勤、運營等單位,從不同視角建立制度,以及符合產業法規。「複合式內部選任形式」,提供其他企業資安人才缺口的解方。
2500名資安人才缺口,搶人大戰開打
從資安長設立規範來看,今年上市櫃公司1367家,都需要設立1∼3人專責團隊,所以至少需要2500名資安人員。104人力銀行數據顯示,2021年資安人才需求相較5年前,成長2.5倍之多,搶人大戰早就上演。
再加上金管會規範「資安人員不得兼辦資訊業務」,讓企業數位人才調度,更顯捉襟見肘。
合勤科技資安長游政卿認同「分立」概念,曾為資訊長多年的他,直言資安如果不獨立,團隊就會權衡,是要IT的效率,還是要資訊的安全,「其實沒有一個可以做得好。這時候企業數位轉型的經驗,就非常重要,因為如果上一波數位轉型轉得好,企業文化已經被洗練過了一次。」
趨勢科技總經理洪偉淦認為,內部培養才是正途,因為不管在產業裡的人,或應屆畢業生,總數都太少了。
「有一種方法是資訊與資安定期輪調,」他表示,資安單位通常是訂定計畫,資訊團隊則負責執行,兩邊理解愈深,合作才能無間,因為沒設計好的流程、沒執行到位的斷點,都可能變成駭客攻擊的弱點。
2020年因為疫情掀起的數位轉型大浪,兩年之間讓企業資料與雲端作業變成日常,當重要資產上網之後,就需要替它們部屬足夠的安全防衛。
資安長設立是企業資訊自衛隊的隊長,也是數位轉型二次加速的起點。
閱讀完整內容
本文摘錄自
防駭悍將資安長
遠見雜誌
2023/5月 第443期
相關